Andrey Leonov รายงานถึงช่องโหว่ ImageMagick ที่พบบนเซิร์ฟเวอร์ของเฟซบุ๊ก ช่วงเดือนตุลาคมปีที่แล้ว โดยเฟซบุ๊กจ่ายเงินรางวัลสำหรับรายงานนี้ถึง 40,000 ดอลลาร์ นับเป็นการรายช่องโหว่ความร้ายแรงงสูง
ช่องโหว่ ImageTragick เปิดให้แฮกเกอร์สามารถสั่งรันคำสั่งใดๆ บนเครื่องเซิร์ฟเวอร์ก็ได้ ตัว Leonov ทดสอบช่องโหว่นี้บนภาพจากภายนอกที่ส่งลิงก์เข้าไปยังเฟซบุ๊ก ทำให้เฟซบุ๊กดึงภาพเข้ามาแล้วปรับขนาด
เซิร์ฟเวอร์ของเฟซบุ๊กป้องกันไว้ด้วยไฟร์วอลล์ทำให้ไม่สามารถเชื่อมต่อออกมาภายนอกได้ แต่ Leonov อาศัยการทำ DNS query เพื่อส่งข้อมูลกลับมายังโดเมนที่เขาควบคุมเอาไว้ ทำให้สามารถดึงข้อมูลจากไฟล์ /proc/version
เพื่อแจ้งช่องโหว่ไปยังทีมงานความปลอดภัยของเฟซบุ๊ก
เฟซบุ๊กแก้ไขช่องโหว่นี้ภายใน 3 วันหลังรายงานครั้งแรก และตัดสินให้เงินรางวัล 40,000 ดอลลาร์หลังจากรายงาน 12 วัน แต่การเปิดเผยช่องโหว่อนุมัติหลังจากรายงานไปสองเดือน
ที่มา - Andrey Leonov
Comments
ช่องโหว่ร้ายแรงแต่เงินรางวัลไม่ค่อยอลังการแฮะ - -"
40k usd นะครับไม่ใช่ 40k บาทไทย :3
ถ้าเอาช่องโหว่ร้ายแรง มาเทียบกับเงินเดือนพนักงาน FB คงประมาณ 2-3 เดือน ถือว่าค่อนข้างน้อยนะ - -"
ผมว่าประมาณ 4-4.5 เดือนครับ
อาจจะเป็นเพราะ ไม่ต้องการให้เกิดการแกะช่องโหว่เป็นอาชีพ
ช่างไฟสมัครเล่น (- -")